SUSE Linux security & hardening. Piotr Szewczuk Starszy konsultant

Podobne dokumenty
Uruchamianie aplikacji za pomocą kontenerów Docker SUSE Expert Days 2016

Szybki start z SUSE Enterprise Storage.

Utwardzanie systemu SUSE Linux Enterprise Server Piotr Szewczuk

Kierunek Software- Defined Data Center

Sprawna współpraca w organizacji dzięki Novell Vibe 3.3

Wskazówki odnośnie zabezpieczania i pielęgnowania systemów Linux

Rola innowacji wolnego i otwartego oprogramowania w gospodarce Marcin Madey

SUSE Manager. Paweł Mirończuk. Starszy konsultant.

Novell Service Desk. Jacek Nienałtowski Konsultant


Wojciech Mazurek. Dyrektor SUSE Poland 7 października 2014, Warszawa

Novell Vibe OnPrem 3. Piotr Szewczuk. konsultant

Lekka wirtualizacja z systemem SLES 11 SP2. Piotr Szewczuk Konsultant pszewczuk@suse.com

Novell ZENworks Asset Management 11. Jacek Nienałtowski Konsultant Novell Sp. z o.o. jnienaltowski@novell.pl

Novell Filr. Nowoczesny i łatwy dostęp do plików pod kontrolą IT. Dariusz Leonarski (spiker) dleonarski@novell.com

ZENworks Endpoint Security Management 11. Jacek Nienałtowski Konsultant Novell Sp. z o.o. jnienaltowski@novell.pl

Novell Privileged User Manager Ziemowit Buczyński

Novell Access Manager

SNP SNP Business Partner Data Checker. Prezentacja produktu

SNP Business Partner Data Checker. Prezentacja produktu

U3000/U3100 Mini (Dla Komputera Eee na systemie operacyjnym Linux) Krótka Instrukcja

Novell Identity Manager 4 omówienie wersji Advanced oraz Standard Ziemowit Buczyński

ZENworks (ZCM) 11. Dariusz Leonarski Starszy konsultant Novell Polska

Expert Days SUSE Enterprise Storage. Ziemowit Buczyński

SUSE Linux Enterprise 12 High Availability Extension Piotr Szewczuk

Bądź mobilny. dysponując bezpiecznym dostępem do plików i możliwością samoobsługowego drukowania. Rafał Kruschewski.

Marzena Kanclerz. Microsoft Channel Executive. Zachowanie ciągłości procesów biznesowych. z Windows Server 2012R2

Vuquest 3320g Area imager

Warstwa ozonowa bezpieczeństwo ponad chmurami

Uzyskaj dostęp do oprogramowania, którego potrzebujesz, w sposób, który wybierzesz

SNP NIP Checker. Prezentacja produktu

WARUNKI UCZESTNICTWA W SAP EXECUTIVE FORUM 2017

Powiedz TAK dla mobilności w biznesie wybierając Novell ZENworks Mobile Management!

Wdrożenie archiwum ELO w firmie z branży mediowej. Paweł Łesyk

Szkolenie Microsoft Lync Korzystanie z roli pełnomocnika

Bezpieczeństwo systemów informatycznych

Powiedz TAK dla mobilności w biznesie wybierając Novell ZENworks Mobile Management!

Szkolenie Microsoft Lync Grupy Odpowiedzi

Instrukcja użytkownika portalu MyDevice

Nowoczesne formy edukacji

SUSE Cloud. Otwarte oprogramowanie do budowy platform chmurowych oparte na OpenStack. Piotr Szewczuk Konsultant

Platforma Office 2010

Szkolenie Microsoft Lync Aplikacja Lync Web App

TEMAT SZKOLENIA: Organizator szkolenia: Compendium Centrum Edukacyjne Sp. z o.o. posiadająca status Novell Training Services Partner Platinum.

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

Krok 2 Podłącz zasilanie do routera bezprzewodowego. Uruchom komputer i zaloguj się jako administrator.

1 Tworzenie własnego zaproszenia dla powłoki bash

1. INFORMACJE OGÓLNE

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

Jak skutecznie zarządzać informacją?

Product Design Suite. AutoCAD. Mechanical. Showcase. Autodesk. Autodesk. Designer. SketchBook. Autodesk. Mudbox Vault. Autodesk. Ultimate.

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

Rozwijaj swój biznes szybciej, sprytniej i prościej niż kiedykolwiek wcześniej

Laboratorium - Konfiguracja routera bezprzewodowego w Windows 7

Bezprzewodowy Moduł GPS Nokia LD-3W. oraz Nawigacja Navicore. (mapy w pamięci telefonu) 1 Copyright 2006 Nokia. All rights reserved.

Twoje osobiste Obliczenie dla systemu ogrzewania i przygotowania c.w.u.

Skuteczne zastosowanie BIM w infrastrukturze i efektywne wykorzystanie narzędzi Autodesk

Jazz EB207S is a slim, compact and outstanding looking SATA to USB 2.0 HDD enclosure. The case is

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

1 Tworzenie własnego zaproszenia dla powłoki bash

Laboratorium - Konfiguracja zabezpieczeń sieci bezprzewodowej

Git - podstawy. Błażej Kowalczyk. Koło Naukowe Robotyków KoNaR. 7 listopada 2014

Zintegrowany System Kontroli VACIS IP6500 Technologia obrazowania dla przemysłu paliwowego

ZENworks Patch Management 11 SP2

WYDZIAŁ NAUK EKONOMICZNYCH. Studia II stopnia niestacjonarne Kierunek Międzynarodowe Stosunki Gospodarcze Specjalność INERNATIONAL LOGISTICS

Disaster Recovery z PlateSpin Forge. Jedno narzędzie do zabezpieczania serwerów fizycznych, wirtualnych i chmury!

Proces implementacji BIM z perspektywy firmy wdrażającej

EAL4+ bezpieczeństwo z SUSE Linux Enterprise Server. Dariusz Leonarski Novell Polska dleonarski@novell.pl

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Zapewniają aktywnym społecznościom edukacyjnym dostęp do programów i usług umożliwiających komunikację i współpracę między ludźmi

Sektor Opieki Zdrowia. Regionalne Spotkania z Technologią Microsoft. Collaborate more. Katowice,

Czy OMS Log Analytics potrafi mi pomóc?

CPX Cisco Partner Excellence CSPP program partnerski

FORMULARZ REKLAMACJI Complaint Form


Oferta przetargu. Poland Tender. Nazwa. Miejscowość. Warszawa Numer ogłoszenia. Data zamieszczenia Typ ogłoszenia

NetIQ Cloud Manager Zarządzanie chmurą w środowisku VMware, Hyper-V, KVM i Xen

****/ZN/2012. if you are pregnant or breast-feeding.

Instalacja i konfiguracja serwera SSH.

Jak skutecznie zarządzać informacją?

Collaborate more Budowa i utrzymanie taniej, wydajnej, bezpiecznej infrastruktury IT

Rozwiązanie Autodesk BIM dla inwestorów i firm wykonawczych

Umowa Licencyjna Użytkownika Końcowego End-user licence agreement

Rys. 1.Okno główne serwera Cisco TFTP Server. Rys.2.Okno opcji serwera Cisco TFTP Server

2. Informacje o mechanizmie limitów

Instrukcja obsługi User s manual

USB firmware changing guide. Zmiana oprogramowania za przy użyciu połączenia USB. Changelog / Lista Zmian

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Serwer Open-Xchange. OXtender dla SyncML-a -- beta --

Red Hat Network Satellite Server

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Capgemini IT Wirtualizacja fundamentem chmury technologie wirtualizacji jako podstawy funkcjonowania chmury

Rozpocznij transformację IT razem z SUSE! Zmniejsz koszty Zwiększ zwinność i wydajność Zapewnij ciągłość działania

311186J. Copyright 2004, Graco Inc. is registered to I.S. EN ISO 9001


PORADNIK. Cztery kroki do symulacji dynamicznej w Autodesk

Zarządzanie tożsamością

Laboratorium - Poznawanie FTP

Transkrypt:

SUSE Linux security & hardening Piotr Szewczuk Starszy konsultant pszewczuk@suse.com

O czym będziemy rozmawiać? Podstawowe operacje przy instalacji i po instalacji systemu SUSE Linux Enterprise Server Usługi systemowe, aktualizacje systemu, kontrola uprawnień Zabezpieczanie usługi SSH, kontrola uprawnień Wykorzystanie mechanizmów Host-based Intrusion Detection System (HIDS) Zabezpieczanie systemu za pomocą AppArmor Audyt i monitorowanie 2

Proces utwardzania systemu Linux 3

Planowanie i instalacja

Wsparcie dla systemów Linux https://www.suse.com/support/ 5

Linux podział sieci 6

Instalacja SUSE 7

8

9

SLES bezpieczne wgrywanie poprawek 100 0 % UPDATE ROLLBACK 10

SLES 12 SP1 - System plików Btrfs 11

Konfiguracja i poprawki

Wyłączenie zbędnych usług YaST 13

YaST Firewall 14

Bezpieczne zarządzanie SSH ssh-keygen -t dsa -b 1024 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. Aby przyśpieszyć logowanie za pomocą ssh należy wyłączyć rozwiązywanie nazw DNS w konfiguracji serwera ssh (na zdalnym serwerze) #vi /etc/sshd/sshd_config UseDNS no #systemctl restart sshd 15

Bezpieczne zarządzanie SSH Automatyczna propagacja kluczy ssh na serwer ssh-copy-id -i /root/.ssh/id_dsa.pub root@sles11-hae-node2 Zaleca się, aby lokalnie też można było logować się za pomocą ssh: ssh-copy-id -i /root/.ssh/id_dsa.pub root@localhost Dodatkowe zabezpieczenia sshd #vi /etc/sshd/sshd_config Port 1234 PermitRootLogin no AllowUsers lokalnyadmin #systemctl restart 16

System plików uprawnienia Sprawdzanie plików i katalogów pod kątem możliwości zapisywania do nich przez wszystkich find / -perm -0002 -type f print find / -perm -0002 -type d print Sprawdzanie plików i katalogów pod kątem możliwości odczytu danych przez wszystkich find / -perm -0004 -type f print find / -perm -0004 -type d print Sprawdzanie plików pod kątem bitów suid / sgid find / -perm +4000 -type f print find / -perm +2000 -type f -print 17

YAST Security Center 18

Audyt i monitorowanie

SUDO delegacja uprawnień Sudo mechanizm nadawania praw do wykonywania programów, poleceń w systemie Linux Tworzymy konto lokalnego administratora np. lokalnyadmin i nadajemy mu prawa do wykonywania poleceń z prawami konta root. Visudo Cmnd_Alias BlokCmd = /usr/bin/passwd Lokalnyadmin ALL=ALL,!BlockCmd Wykonywany program należy poprzedzić poleceniem sudo np. sudo fdisk l SUDO loguje zdarzenia!!! 20

NetIQ PAM centralne sudo 21

NetIQ PAM centralne sudo 22

Linux Audit /etc/audit/auditd.conf /var/log/audit/audit.log 23

Linux Audit - aureport 24

DAC vs MAC dwa podejścia do uprawnień Discretionary Access Control (DAC) właściciel zasobu (użytkownik) ma prawo zarządzać prawami dostępu do swoich zasobów. Klasyczne podejście do modelu bezpieczeństwa. Mandatory Access Control (MAC) obowiązkowa kontrola dostępu dla podmiotów (użytkownik, proces) do obiektów (plik, katalog, urządzenie, port sieciowy). Kontrola odbywa się za pomocą odpowiednich atrybutów oraz polityk. Implementacje w SUSE Linux: AppArmor, SELinux. 25

SUSE Manager HEALTH MONITORING Optymalizacja zarządzania Wdrażanie Zarządzanie pakietami, poprawkami Ponowna instalacja Kontrola Asset Management Redeployment SUSE Manager Configuration Management Audyt systemów Raporty Obsługiwane systemy Provisioning Package Management Patch Management SECURITY SLES, RHEL + CentOS z Expanded Support RHEL + RHN CentOS + OEL nie wspierane komercyjnie jeszcze, ale działają ;-) COMPLIANCE

Zarządzanie konfiguracją w oparciu o Salt!!!! Scalable Speed Size Built for Future

Systemy monitorowania Nagios część SUSE Linux Icinga część SUSE Managera Zabbix Co monitorujemy: pamięć, zużycie hdd, procesora ruch sieciowy temperatura Należy pamiętać o konfiguracji: wykresów powiadomień 28

Wykrywanie włamań

Host Intrusion Detection System AIDE AIDE program do sprawdzania integralności plików w systemie Linux. /etc/aide.conf plik konfiguracyjny aide i pierwsze uruchomienie po utworzeniu bazy aide należy ją przenieść w bezpieczne miejsce Następnie cyklicznie sprawdzamy co zmieniło się w naszym systemie poleceniem: aide --check Aktualizacja bazy: aide --update 30

Host Intrusion Detection System AIDE 31

Host Intrusion Detection System rootkit`y chkrootkit, rkhunter narzędzia nie są dostępne standardowo w SLES 11/12. Można je zainstalować z dodatkowych kanałów na stronie: http://software.opensuse.org 32

SIEM NetIQ Sentinel 33

Testy penetracyjne http://www.kali.org http://www.openvas.org 34

35 Corporate Headquarters +49 911 740 53 0 (Worldwide) Join us on: Maxfeldstrasse 5 90409 Nuremberg Germany www.suse.com www.opensuse.org

Unpublished Work of SUSE LLC. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary and trade secret information of SUSE LLC. Access to this work is restricted to SUSE employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of SUSE. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SUSE makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for SUSE products remains at the sole discretion of SUSE. Further, SUSE reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All SUSE marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres